深入了解Fortinet的SASE平臺
隨著規模更大、更嚴重的網絡攻擊在全球范圍內蔓延,很多企業需要為其網絡提供強大的安全架構。Fortinet在提供安全驅動的網絡產品方面處于領先地位。
該公司以其Fortinet Security Fabric而聞名,這是一種集成安全產品架構,跨越廣泛的數字攻擊面和生命周期。Security Fabric的核心是FortiOS操作系統,它支持一系列插件產品,幫助客戶滿足其特定的網絡和安全需求。FortiGate下一代防火墻是Security Fabric的基礎。
這個插件策略是Fortinet提供其所謂的安全訪問服務邊緣產品FortiSASE的方式。雖然FortiSASE可能有助于實現全面的軟件定義廣域網 (SD-WAN),但它其實并不完全是SASE。
Gartner如何定義SASE
為了更好地理解Fortinet的SASE策略,客戶首先應該了解SASE,它將網絡和安全點服務融合為統一的全球云原生服務。它是企業網絡和安全的架構轉型,使IT能夠為數字業務提供全面且適應性強的服務。
在嘗試通過點服務解決新興業務挑戰時,這通常會導致技術孤島,管理復雜且成本高昂。復雜性會降低IT及其對業務需求的響應速度。而SASE通過網絡和安全平臺改變了這種模式,該平臺是身份驅動、云原生、全球分布且安全連接到所有邊緣,包括WAN、云計算、移動和物聯網。
為了滿足Gartner的標準,SASE平臺必須具有以下屬性:
- 建立在云原生和基于云的架構之上;
- 分布在全球多個接入點(PoP)中;
- 支持所有邊緣,包括位置、用戶、云和應用程序。
雖然我們SD-WAN專家認識到供應商可能需要時間來實施SASE,但我們也相信云端安全和網絡融合是將平臺視為SASE必要因素。
Fortinet的SASE方法:擴展安全架構
自2019年Gartner宣布SASE為網絡和安全的未來以來,很多供應商已經在競爭中占據了一席之地。Fortinet 通過推出其FortiSASE架構成為其中之一。
Fortinet在其網站上說明了他們的SASE做法。下面是關鍵的摘錄:
不是孤立的、僅限云的方法,FortiSASE提供SASE服務作為Fortinet Security Fabric的擴展,以擴展和利用FortiOS的強大功能,FortiOS是連接整個Fortinet安全解決方案組合的通用操作系統。
換句話說,Fortinet 在利用其過去21年開發的所有硬件和軟件以組裝成SASE模型,同時淡化云方法。這種方法與Gartner對云交付SASE的定義形成對比。
一次構建一個Fortinet架構
連接性
為了部署Fortinet架構,企業需要從連接性開始。網絡團隊在企業數據中心 (FortiGate 2500E)、云數據中心 (FortiGate-VM) 和分支機構 (FortiGate 60E) 中部署物理或虛擬 FortiGate設備。FortiGate SD-WAN功能是SD-WAN的主要構建塊。接下來,團隊在遠程用戶的設備上部署FortiClient以將他們連接到網絡。
Fortinet沒有用于全球連接的產品。WAN僅適用于區域用例,不提供SaaS優化。
SD-WAN
然后,團隊應該配置服務質量,以確保應用程序在整個網絡中獲得正確的優先級。他們將需要購買另一種Fortinet產品SD-WAN Orchestrator,以將SD-WAN視為跨集線器、組網和虛擬網絡的虛擬覆蓋,并為不同的應用程序構建全網狀網絡。否則,團隊必須為每個設備逐個管理不同的SD-WAN隧道。
SD-WAN Orchestrator將網絡視為一個整體,但它有局限性。例如,它將復雜的對象名稱(例如AAAAA、AAAAB 和 AAAAC)分配給虛擬網絡隧道和其他相關配置項。這種命名約定使工程師難以將對象名稱與物理站點相關聯,從而使手動故障排除變得復雜。
安全和管理
對于安全性,Fortinet具有融合性。FortiGate設備提供高級安全性,但需要在所有位置進行配置,最好使用FortiManager。如果遠程FortiClient用戶沒有基于云的安全性,團隊將需要通過數據中心的物理設備或云數據中心的虛擬設備回傳流量,作為集中器,以便通過安全堆棧傳輸流量。
為了管理遠程FortiClient用戶,團隊需要在本地安裝企業管理服務器軟件,部分安裝在隔離區,以便與互聯網上的遠程FortiClient代理進行通信。
其他Fortinet產品有助于設備管理。FortiManager幫助管理網絡上的一切,以有效的方式將策略和配置推送到設備。它還建立覆蓋虛擬網絡隧道,并且SD-WAN策略被推送到FortiGate設備。FortiManager不包括分析功能,因此另一個產品FortiAnalyzer提供網絡分析。
FortiSIEM需要聚合所有日志并將信息標準化為單個塊。如果團隊想要為其Fortinet環境添加多因素身份驗證,他們將需要FortiAuthenticator作為所有Fortinet組件的中間件。FortiDeploy幫助團隊進行零接觸部署。
運行網絡
當團隊安裝了這種拼湊的產品來連接和保護網絡,就可以運行它。如果團隊想要保證高可用性,他們需要在各處將設備加倍以確保自動故障轉移。這種方法不僅昂貴,而且也難以管理。網絡復雜性將要求公司在部署IT堆棧的任何地方都配備IT人員。
SASE適合的地方
2020年7月,Fortinet收購了Opaq Networks公司,并表示此次收購將是Fortinet進入競爭激烈的SASE領域的關鍵。目前這個愿景還沒有實現。相反,Fortinet當前的SASE方法是其傳統的FortiGate-FortiManager-FortiClient故事。
FortiSASE的主要云部分是安全互聯網訪問 (SIA),它結合FortiClient或稱為FortiExtender的瘦邊緣一起使用。這些產品尚不支持FortiOS集成。對于SIA,Fortinet目前有一個PoP,到2021年底計劃有四個。
FortiSASE不滿足SASE的技術定義,但它以后可能會提供更多功能。根據我的經驗,Fortinet會告訴客戶“SASE是一段旅程”。
FortiSASE優勢
Fortinet產品的重要部分是Security Fabric。它具有強大的功能集,并在“2020年Gartner 網絡防火墻魔力象限”中被評為三大領導者之一。根據Gartner的說法,“在具有有高級網絡的集成SD-WAN功能方面,Fortinet防火墻是領導者,使其成為基于防火墻設備的分布式辦公用例的首選。”
FortiSASE缺點
從真正的SASE平臺角度來看,Fortinet幾乎沒有。Fortinet預計收購Opaq,這可能會有所幫助,但事實證明與Fortinet戰略的整合很難實現。
Fortinet當前的SASE產品不包括任何云原生組件。它沒有私有的全球骨干網或簡單方法來連接和優化 SaaS應用程序。簡而言之,Fortinet的SASE選項是具有新營銷功能的安全SD-WAN。
需要組裝
團隊最初可能會因為入門價格低而被Fortinet吸引,但每個附加功能都會增加復雜性和價格。Fortinet的方法仍然以設備為中心,缺乏云戰略。如果企業已經擁有Fortinet基礎設施,那么值得考慮將其作為安全SD-WAN而不是SASE。
Gartner強調,僅基于本地設備的服務交付模型無法滿足日益移動化的勞動力和對延遲敏感的應用程序的需求。雖然Fortinet擁有令人印象深刻的功能列表,但從云邊緣提供這些功能是SASE的基礎。
